Contenu de l’article
Quatorze ans après avoir été introduite par un commissaire canadien à la protection de la vie privée, Privacy by Design (PbD) est sur le point de devenir une norme internationale de confidentialité pour la protection des produits et services de consommation.
Publicité 2
Contenu de l’article
Le 8 février, le Organisation internationale de normalisation (ISO) adoptera PbD comme ISO 31700.
Contenu de l’article
L’ISO est un réseau de 167 organismes nationaux de normalisation. Il établit plus de 24 000 normes, y compris ISO 27001 pour les systèmes de gestion de la sécurité de l’information, dont certaines organisations peuvent être certifiées conformes après avoir passé un examen par des cabinets d’audit comme Deloitte, KPMG et PwC.
Au départ, cependant, ISO 31700 ne sera pas une norme de conformité.
« C’est incroyable que l’ISO fasse cela », a déclaré Ann Cavoukian, créatrice de PbD et aujourd’hui directrice exécutive du Global Privacy and Security by Design Centre de Toronto. « C’est énorme. »
« Nous pensons que ce sera une étape majeure en matière de confidentialité. »
Dévoilé en 2009, Confidentialité dès la conception est un ensemble de principes qui appelle à la prise en compte de la confidentialité tout au long du processus de gestion des données d’une organisation.
Publicité 3
Contenu de l’article
Depuis lors, il a été adopté par l’Assemblée internationale des commissaires à la vie privée et des autorités de protection des données, et intégré dans le règlement général européen sur la protection des données (RGPD). Cependant, seules les organisations qui détiennent des données sur les résidents européens sont tenues de suivre le RGPD. En 2018, l’ISO a formé un groupe pour commencer à planifier l’inclusion du PbD dans ses normes.
L’adoption par l’ISO « donne vie à l’opérationnalisation du concept de confidentialité dès la conception », a déclaré Cavoukian, « en aidant les organisations à comprendre comment le faire. La norme est conçue pour être utilisée par toute une gamme d’entreprises – startups, entreprises multinationales, organisations de toutes tailles. Avec n’importe quel produit, vous pouvez faire fonctionner cette norme car elle est facile à adopter. Nous espérons que la confidentialité sera intégrée de manière proactive dans la conception de [an organization’s] opérations et il complétera les lois sur la protection des données.
Publicité 4
Contenu de l’article
À titre indicatif, la confidentialité dès la conception s’applique aux systèmes informatiques, aux pratiques commerciales responsables, à la conception physique et à l’infrastructure en réseau.
Tel qu’il a été rédigé à l’origine, le PbD comporte sept principes, y compris ceux qui stipulent que la confidentialité doit être le paramètre par défaut d’une organisation (aucune action n’est requise de la part d’un individu pour protéger sa confidentialité), il est intégré à la conception des systèmes informatiques et des pratiques commerciales, et il est partie de l’ensemble du cycle de vie des données.
La norme ISO 31700 finale est plus détaillée, avec 30 exigences. Un brouillon de la norme montre qu’il fera 32 pages. Il comprend des conseils généraux sur la conception de capacités permettant aux consommateurs de faire respecter leurs droits à la vie privée, l’attribution de rôles et d’autorités pertinents, la fourniture d’informations sur la confidentialité aux consommateurs, la réalisation d’évaluations des risques pour la vie privée, l’établissement et la documentation des exigences pour les contrôles de confidentialité, la conception de contrôles de confidentialité, la gestion des données du cycle de vie , et la préparation et la gestion d’une violation de données.
Publicité 5
Contenu de l’article
L’introduction proposée note que la confidentialité dès la conception fait référence à plusieurs méthodologies de développement de produits, de processus, de systèmes, de logiciels et de services. La bibliographie proposée qui accompagne le document fait référence à d’autres normes avec des exigences plus détaillées sur l’identification des informations personnelles, les contrôles d’accès, le consentement des consommateurs, la gouvernance d’entreprise et d’autres sujets.
Parallèlement à la norme, un document distinct décrira les cas d’utilisation possibles.
Le lancement sera marqué par un webinaire d’une heure donnant un aperçu de la norme pour les chefs d’entreprise, les propriétaires d’entreprise, les défenseurs de la vie privée des consommateurs et les praticiens de la technologie.
Cavoukian a répété l’argument qu’elle défend depuis des années : la confidentialité peut être un avantage concurrentiel pour les entreprises qui l’adoptent. « Débarrassez-vous du modèle obsolète de confidentialité et d’affaires », a-t-elle déclaré. « Cela peut être gagnant-gagnant. C’est la vie privée et les intérêts commerciaux. Vous pouvez faire les deux.
La poste La confidentialité dès la conception deviendra une norme ISO le mois prochain est apparu pour la première fois sur Monde informatique Canada.
Cette rubrique est alimentée par Monde informatique Canada. ITWC couvre le spectre informatique de l’entreprise, fournissant des nouvelles et des informations aux professionnels de l’informatique qui souhaitent réussir sur le marché canadien.